Gokar, worm che attacca siti e utenti

Si tratta di un codicillo di cui si è avuta notizia nelle scorse ore e che arriva dall'Asia. E' capace di infettare tutti i sistemi Windows e Internet Information Server. Trasformando siti e utenti in sparaworm inconsapevoli


Web – Stanno arrivando dagli osservatori antivirus dei maggiori produttori di software di sicurezza segnalazioni di allerta per un worm, chiamato Gokar, che si diffonde in rete attraverso mIRC, la celebre applicazione per la chat IRC, e Microsoft Outlook.

A quanto pare Gokar è di origine asiatica ed ha la capacità, precedentemente registrata solo in alcuni worm particolarmente aggressivi, di modificare la propria “apparenza”, trasformando di volta in volta il subject quando si diffonde via email e anche il nome dell’attachment infetto che, se aperto, lo lancia sui computer Windows.

L’osservatorio di F-Secure classifica Gokar come un worm di secondo livello, e questo significa che sebbene potenzialmente pericoloso l’epidemia che ha scatenato rimane fino a questo momento contenuta. Dello stesso avviso anche i labs di Symantec, SARC , che posizionano Gokar a livello 2, dunque ben al di sotto delle più pericolose soglie di rischio toccate da vermicelli come Badtrans.B , Gone o Sircam . Va detto però che proprio Symantec indica tra le caratteristiche del worm la sua alta capacità di diffusione come l’elemento a cui prestare maggiore attenzione.

A rendere insidioso Gokar è una funzione già vista in Gone, che mira a disabilitare i software antivirus installati sui computer nei quali si diffonde. Secondo Trend Micro , che per prima ha dato notizia dell’epidemia, Gokar sarebbe in grado di colpire tutte le piattaforme Windows. E se la macchina colpita funziona come web server, Gokar va anche a modificare la pagina di partenza di Internet Information Server per offrire a tutti i visitatori del sito il file infetto web.exe, che naturalmente contiene a sua volta il worm.

Stando alla ricostruzione degli esperti del SARC, le email contenenti Gokar possono avere come subject uno dei seguenti:

-If I were God and didn’t belive in myself would it be blasphemy
-The A-Team VS KnightRider… who would win ?
-Just one kiss, will make it better. just one kiss, and we will be alright.
-I can’t help this longing, comfort me.
-And I miss you most of all, my darling…
-… When autumn leaves start to fall
-It’s dark in here, you can feel it all around. The underground.
-I will always be with you sometimes black sometimes white…
-.. and therès no need to be scared, you re always on my mind.
-You just take a giant step, one step higher.
-The air will hold you if you try, trust my wings of desire. Glory, Glorified…….

Il testo del messaggio, invece, è uno dei seguenti:

-Happy Birthday
-Yeah ok, so it’s not yours it’s mine:)
-The horizons lean forward, offering us space to place new steps of change.
-I like this calm, moments before the storm
-Darling, when did you fall..when was it over ?
-Will you meet me…. and wèll fly away ?!
-You should like this, it could have been made for you speak to you later
-They say love is blind… well, the attachment probably proves it.
-Pretty good either way though, isn’t it ?
-still cause for a celebration though, check out the details I attached
-This made me laugh
-Got some more stuff to tell you later but I can’t stop right now
-so Ìll email you later or give you a ring if thats ok ?!
-Speak to you later

Il file infetto in allegato cambia nome inserendo numeri a caso e aggiungendovi una delle seguenti espressioni: tgfdfg jhfxvc cgfd2 trevc t6tr ffdasf glkfh fhjdv qesac kujzv weafs twat rewfd gfdsf hgbv fdsc p0olik 3tgf rf43dr t54refd ut545a r4354gkjw vgrewu xw54re y343rv z3vdf. L’estensione del file può essere.pif,.scr,.exe,.com o.bat.

Una volta colpito il sistema, il worm aggiunge il nome dell’utente Windows alla fine del messaggio e si auto-invia in questo modo a tutti gli indirizzi compresi nella rubrica.

Il passo successivo è la copia di sé stesso nella cartellina di Windows in un file che si chiama “Karen.exe”. E aggiunge un valore “c:windowskaren.exe” alla chiave di registro: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. Questo consente al worm di riattivarsi ad ogni riavvio di Windows.

Fatto questo, il worm cerca di inserire un file script.ini all’interno della directory c:mirc in modo da potersi inviare attraverso le chat in mIRC. Se sul computer trova la directory del web server (C:inetpubwwwroot folder) ci si copia all’interno come Web.exe. E rinomina default.htm in redesi.htm creando un nuovo file default.htm che presenta questo testo: “We Are Forever”.

Per conoscere quanto accade sul “fronte” dei virus è disponibile il Canale Virus di Punto Informatico.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    NON ERA MEGLIO RENDERE I GIOCHI IN 3D REALE?
    Dal titolo pensavo si trattasse di questo, cioe' una libreria x l'adattamento della grafica del pc alla tridimensionalita' (tramite la tecnica stereoscopica come mi pare appunto che si chiami) e degli occhialini appositi (quasi come quelli con la lente rossa e verda ma un tantino piu' complessi) credo sarebbe stato di sicuro piu' utile e piu' innovativo di questo che trovera' spazio soprattutto nel campo della security invece, non credete? (e non mi dite ke si potrebbero controllare i videogames facendo mosse davanti al monitor ke sarebbe proprio ridicolo nn credete? :))
    • Anonimo scrive:
      Re: NON ERA MEGLIO RENDERE I GIOCHI IN 3D REALE?
      se ho ben capito quello che vuoi dire, esiste già per tutte le schede video basate su chip nvidia e i driver. Puoi trovare i driver sul sito stesso. La visione può essere con degli occhialini a otturazione che rendono il "monitor tridimensionale" oppure tramite degli occhiali lcd, ben più costosi, tipo quelli che puoi vedere ne "Il labirinto" su la7 alle 14 ogni giorno.
  • Anonimo scrive:
    La intel mi piace !
    Da quando sono cambiate le sue politiche mi sta piu simpatica e a voi ?W l'open source !
    • Anonimo scrive:
      Re: La intel mi piace !
      Si, anche a me!!!Anche se rimango diffidente... ho bisogno di ancora un po' di tempo....Io tra tutti i computer che ho comprato gli ho dato svariati milioni.....Stiamo a vedere, per ora mi sembrano ottimi passi
      • Anonimo scrive:
        Re: La intel mi piace !
        - Scritto da: cdr
        Si, anche a me!!!
        Anche se rimango diffidente... ho bisogno di
        ancora un po' di tempo....
        Diciamo che la Intel si domosta coraggiosa in alcune scelte e monopolista verso altre... e in questo caso non avvantaggia la diretta concorrenza.... pero' e' meglio di niente :D
    • Anonimo scrive:
      Re: La intel mi piace !

      W l'open source !Per fortuna ci hanno anche risparmiato la GPL!
    • Anonimo scrive:
      Re: La intel mi piace !
      Peccato che intel faccia queste cose per precise strategie di mercato e non per etica.
Chiudi i commenti